‘Informatiebeveiliging is één van de belangrijkste operationele risico’s voor pensioenfondsen’
SPO Nyenrode in gesprek met Ingrid Talsma en Martin Luijt van DNB
De pensioensector is een domein waarvan cybercriminelen zien dat er wat te halen valt. Gegevens van deelnemers zijn geld waard. Cyberaanvallen worden geavanceerder en het aantal neemt toe. De ontwrichtende impact van cyberaanvallen wordt steeds groter en kunnen de continuïteit van een gehele uitbestedingsketen ernstig schaden. DNB ziet de risico’s van informatiebeveiliging, cybersecurity en uitbesteding als één van de belangrijkste operationele risico’s.
Het Expertisecentrum Operationele & IT-risico’s DNB (ECOPIT) van de divisie Toezicht Pensioenfondsen onderzoekt of verzekeraars en pensioenfondsen hun processen en organisatie zodanig hebben ingericht dat ze goed bestand zijn tegen, onder andere, cyberrisico’s. Ingrid Talsma en Martin Luijt werken op deze afdeling. SPO Nyenrode ging met hen in gesprek over cyberrisico’s, informatiebeveiliging en het toezicht van DNB op deze onderwerpen.
Ingrid: “Op dit moment vinden er veel cyberaanvallen plaats, binnen én buiten de financiële sector. Van simpele aanvallen door scripts die geautomatiseerd het hele internet afzoeken tot geavanceerde ransomware-aanvallen. Uit de laatste IB-monitor [1] bleek dat één op de twintig pensioenfondsen en verzekeraars weleens een aanval te hebben meegemaakt. Dat betekent niet dat de impact van al die aanvallen even groot was. Ernstige incidenten moeten apart bij DNB worden gemeld.
Dreigingen veranderen en alleen preventie is niet meer voldoende
Aanvallers worden geraffineerder en de aanvallen worden steeds complexer. Gelukkig wordt het merendeel van de aanvallen tijdig gedetecteerd. Detectie en periodiek testen van de weerbaarheid van een instelling wordt steeds belangrijker. Pensioenfondsen doen er verstandig aan om de inrichting van hun informatiebeveiliging op niveau te brengen en te houden, ook in het geval dat belangrijke activiteiten zijn uitbesteed bij derde partijen.”
Cyberrisico en informatiebeveiliging nader toegelicht
Martin: “Cyberrisico is het risico dat de ICT systemen van een pensioenfonds worden binnengedrongen door personen vanuit de organisatie zelf of vanaf buiten door cybercriminelen. DNB geeft handvatten en voorbeelden voor de beheersing van deze risico’s in Q&A’s en Good Practices. Daarin is te lezen hoe instellingen kunnen voldoen aan wet- en regelgeving op het gebied van informatiebeveiliging en uitbesteding. Je wordt meegenomen in de verwachtingen van DNB op deze onderwerpen aan de hand van praktische voorbeelden van risico’s en beheersingsmaatregelen.”
“Onder Informatiebeveiliging wordt verstaan: de maatregelen die een pensioenfonds treft om de informatie binnen of buiten zijn ICT systemen te beveiligen tegen ongeoorloofde toegang en ontvreemding. Bij deze maatregelen kun je denken aan toegangsbeveiliging en detectie van vreemde activiteiten op je netwerk, maar ook aan maatregelen die het bewustzijn van de medewerkers moeten bevorderen. DNB heeft de Good Practice Informatiebeveiliging [2] gepubliceerd, waarin 58 maatregelen (controls) zijn opgenomen, waarvan DNB verwacht dat financiële instellingen deze op voldoende niveau brengen.
De rol van het bestuur in cyberrisico’s en informatiebeveiliging
Ingrid: ”Belangrijk is dat een pensioenfonds kiest voor een mix van beheersmaatregelen passend bij de aard en omvang van de cyberrisico’s van de instelling. Het is belangrijk dat het pensioenfonds een juiste combinatie van preventieve, detectieve en correctieve maatregelen op een voldoende volwassenheidsniveau heeft geïmplementeerd en periodiek als ‘proof of the pudding’ door middel van securitytests vaststelt of de organisatie voldoende weerbaar is tegen cyberaanvallen.
Ook van belang is dat fondsbestuurders in staat zijn om kritische vragen te stellen en weloverwogen beslissingen te nemen ten aanzien van risico’s van informatiebeveiliging en cybersecurity, ook als deze risico’s zich bevinden bij een dienstverlener verderop in de uitbestedingsketen. Goed als de bestuurder kan meedenken op dit gebied en de instelling helpen om de strategische en tactische richting te bepalen.”
Martin: “Een pensioenfondsbestuurder die kennis heeft van cyberrisico’s en informatiebeveiliging zal beter in staat zijn om ervoor te zorgen dat het pensioenfonds deze risico’s onderkent en beheerst.”
“Concurreer, maar niet op het gebied van cyberbeveiliging”
Ingrid: “Nederlandse banken liepen voorop met het gebruik van online kanalen. Zij hebben dan ook al jaren te maken met cyberdreigingen. Hierdoor hebben ze veel kennis en ervaring op dit gebied en hebben daardoor een hoger (basis)niveau van informatiebeveiliging.
Wat pensioenfondsen kunnen opsteken van de banken? Banken concurreren weliswaar met elkaar, maar niet op het gebied van cyberbeveiliging. Op dat vlak werken ze steeds meer samen, bijvoorbeeld op het gebied van cyberbeveiliging wordt juist informatie met elkaar gedeeld.
Meer weten?
Wenst u meer handvatten en voorbeelden voor de beheersing van IT-risico’s, dan kunt u de module Informatiebeveiliging & cybersecurity volgen. In deze eendaagse module wordt u meegenomen in de beheersingsmaatregelen samengevat per onderwerp. De voorbeelden zijn toegespitst op de rol van het bestuur bij de implementatie van en het toezien op die beheersingsmaatregelen
Naast een theoretische inleiding met praktijkvoorbeelden wordt dieper ingegaan op onderwerpen die bij tekortkomingen een hoog risico hebben. Tijdens de training analyseert en beoordeelt u zelf enkele praktijkcases, zodat u de stof direct in de praktijk leert toe te passen.
Lees ook de volgende artikelen:
DNB ziet cyberdreiging toenemen terwijl basismaatregelen niet altijd op orde zijn (30-11-2022)
Highlights Uitvraag Niet-Financiële risico’s 2022 (dnb.nl) (7-02-2023)
[1] Highlights jaarlijkse sectorbrede analyse operationele en IT risico’s pensioenfondsen (dnb.nl)
[2] Q&A Informatiebeveiliging (dnb.nl). Op deze website staat een verwijzing naar de Good Practice, de SA en de IB monitor 2021